[发明专利]一种网络拓扑排查方法及其系统

摘要

本发明的目的在于提供一种网络拓扑排查方法及其系统。基于该方法及其系统能快速有效探明信息系统网络连接情况，自动生成系统真实的、与系统在运情况一致的拓扑图，有效发现信息系统中存在的非法外联情况，辅助运维人员、测试人员快速定位排除系统安全隐患，保障信息系统的安全。本发明的方法步骤包括资产导入及设备分类、配置获取及自动解析、边界界定、设备存活性扫描、设备登录核实、设备外联情况测试、信息汇总及报告生成。本发明的系统包括资产导入及设备分类模块、配置获取及自动解析模块、边界界定模块、设备存活性扫描模块、设备登录核实模块、设备外联情况测试模块、信息汇总及报告生成模块。

主权项

1.一种网络拓扑排查方法，其特征在于包括如下步骤：1)导入初步的信息系统资产表，并根据初步的信息系统资产表对信息系统所包含的网络设备、网络安全设备及主机的三类设备进行分类；2)获取网络设备及网络安全设备的网络配置，并自动解析设备的网络配置，并通过解析设备配置获得信息系统所有在运的网段信息、网络设备及网络安全设备的各端口连接信息、设备路由表、IP‑MAC转发表、MAC地址信息；3)自动以网络安全设备设定为信息系统的边界；4)分别配置信息系统所包含的各个通信网段非在用的IP地址，采用trunk接口扫描或者各网段扫描的方式对信息系统所包含所有通信网段中的所有IP进行设备存活性扫描，通过设备存活性判断获得信息系统所有存活设备的IP信息、MAC信息、主机名信息或者banner信息，并将已经扫描过的网段标记成已扫描网段；所述的trunk接口扫描是指配置网卡为trunk接口模式，并将该配置成trunk接口模式的网卡连接至网络设备的trunk接口，并对网络设备trunk接口承载的各网段进行设备存活性扫描和设备存活性判断；所述的各网段扫描是指接入网络设备的各个VLAN，对每一个VLAN承载的网段进行设备存活性扫描；5)对各个通信网段所有存活的设备逐一远程登录核实，对不能登录的设备，当作有风险的设备处理；6)登录存活设备之后，在存活设备上执行外联情况测试，并反馈保存测试结果；所述的外联情况测试是指如下步骤的测试：A：执行互联网连通测试，即通过ICMP方式探测互联网公开IP地址；B：执行设备网络接口连接情况测试，即：执行设备网络接口查看指令，如果发现设备只有一个IP地址或者同一网段多个IP地址，则记录该设备全部的IP地址、MAC地址、主机名或者banner信息，并退出外联情况测试；如果发现设备有多个网段的IP地址，则记录该设备全部的IP地址、MAC地址、主机名或者banner信息，将该设备上新发现的所有网段定义为设备新发现全部网段，并对设备新发现全部网段中包含的每个网段执行设备网段扫描，直到设备新发现全部网段中的所有网段都完成设备网段扫描为止；C:设备网段扫描的步骤如下：判断所扫描的网段是否为已扫描网段或者设备的IP地址及MAC地址是否在已扫描网段的设备列表当中；如果所扫描的网段为已扫描网段且该设备的IP地址及MAC地址在已扫描网段的设备列表当中，则不对该网段进行扫描，并退出该网段的设备网段扫描；如果所扫描的网段不属于已扫描网段或者该设备的IP及MAC地址不在已扫描网段的设备列表当中，则在设备上针对该网段包含的所有IP执行设备存活性扫描和设备存活性判断,并将发现的存活主机定义为设备网段存活设备；D:对设备网段设备逐一远程登录核实，对不能登录的设备网段设备，当作有风险的设备处理，对能成功登录的设备网段设备，在设备上执行外联情况测试，直到探测到网络安全设备或者互联网地址为止；7)汇总所有存活设备上的主机名信息、所有存活设备上的所有IP以MAC对应信息、所有存活设备上的接口连接情况、所有存活设备上互联网连接情况信息、所有网络设备及网络安全设备上的端口连接信息及路由信息，绘制系统真实的拓扑图，生成信息系统当前在运的资产表；同时，根据将信息系统当前在运的资产表与初步的信息系统资产表对比，生成资产表对比表，并标示出系统存在的非法外联设备。